Sous l’impulsion de la Commission nationale de l’informatique et des libertés (« Cnil »), le Comité européen de la protection des données (« CEPD ») a publié le 19 mai dernier des recommandations précisant les conditions dans lesquelles les e-commerçants peuvent procéder à la conservation des données de carte de paiement dans le but de faciliter les achats ultérieurs de leurs clients (l’objectif étant d’éviter à leurs clients de ressaisir leur numéro de carte bancaire lors d’achats ultérieurs).
Si une telle pratique peut être mise en œuvre, encore faut-il qu’elle soit encadrée, et ce conformément aux recommandations du CEPD et de la Cnil.
1. Recommandations de la Cnil s’agissant de la conservation des données de carte de paiement
Dans sa délibération n° 2018-303 du 6 septembre 2018 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance, la Cnil avait notamment précisé les conditions dans lesquelles les données de carte de paiement (c’est-à-dire le numéro de la carte bancaire, sa date d’expiration et le cryptogramme visuel) pouvaient être conservées par les e-commerçants.
A cet égard, selon la Cnil, plusieurs situations doivent être distinguées :
- par principe, de telles données ne doivent pas être conservées « au-delà » de la transaction ;
- toutefois, lorsqu’il s’agit d’un abonnement impliquant des paiements multiples ou lorsque le traitement des données de carte bancaire intervient dans le cadre de la souscription d’une solution de paiement dédiée à la vente à distance par des prestataires de services de paiement (cartes virtuelles, porte-cartes numérique – « wallets », comptes rechargeables, etc.), une conservation plus longue des données de carte de paiement peut se justifier par l’exécution d’un contrat ;
- en revanche, si les e-commerçants souhaitent conserver des données de carte de paiement « au-delà » de la transaction pour faciliter des achats ultérieurs, et éventuellement proposer à l’utilisateur de réaliser un achat « en un clic », il convient de recueillir le consentement de leurs clients à cette fin. Pour mémoire, le « consentement » désigne « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement» (cf. article 4 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit « RGPD ») et il doit être permis aux personnes concernées de retirer leur consentement à tout moment. Cette interprétation de la Cnil est d’ailleurs partagée par le Conseil d’Etat qui a refusé d’annuler pour excès de pouvoir la décision de la présidente de la Cnil aux termes de laquelle elle avait refusé de modifier sa délibération précitée sur ce point (cf. Conseil d’Etat, décision n°429571 du 10 décembre 2020) ;
- pour ce qui concerne le cas particulier de la souscription à un abonnement, à titre gratuit ou onéreux, donnant accès à des services additionnels (par exemple, livraison rapide, accès à des ventes privées ou à des contenus complémentaires, etc.), traduisant l’inscription du client dans une relation commerciale régulière, la Cnil considère que le recueil du consentement des personnes concernées n’est pas requis et que le responsable de traitement peut, s’il respecte certaines conditions (notamment, intention manifeste des personnes concernées de s’inscrire dans une relation commerciale régulière, information des personnes concernées et possibilité pour ces dernières de s’opposer à une telle conservation de leurs données de carte de paiement), fonder un tel traitement sur la poursuite de ses intérêts légitimes. A cet égard, la Cnil précise que « La souscription à un tel abonnement doit donc être distincte de la simple création d’un compte client donnant accès aux services de base», même si elle peut être concomitante, et qu’il doit s’agir « d’une démarche complémentaire à la création et au fonctionnement courant d’un compte client ». En outre, la Cnil estime que « la simple inscription à un programme ou compte de fidélité, en contrepartie d’avantages et de récompenses, qui ne donnerait pas accès à des prestations supplémentaires visant à faciliter les achats, ne saurait suffisamment traduire l’intention du client de procéder à des achats réguliers auprès du commerçant », ce dont il résulte que les conditions requises pour pouvoir fonder la conservation des données de carte de paiement des clients sur la poursuite des intérêts légitimes du responsable de traitement ne seraient pas réunies dans de telles hypothèses ;
- lorsque des données de carte de paiement sont conservées « au-delà » de la transaction à des fins de lutte contre la fraude, le e-commerçant peut fonder un tel traitement sur la poursuite de ses intérêts légitimes, étant toutefois précisé que « l’utilisation du numéro de carte bancaire dans le cadre d’un traitement visant à lutter contre la fraude et, le cas échéant, la conservation d’une trace de comportements frauduleux ayant généré des impayés, ne saurait aboutir à un refus de vente» mais que « cette utilisation peut néanmoins conduire le commerçant à refuser ce mode de paiement ».
La Cnil rappelle tout de même que la conservation du cryptogramme après la réalisation de la première transaction est interdite, dans tous les cas de figure, y compris pour les abonnements nécessitant différents paiements.
2. Recommandations du CEPD concernant la conservation des données de carte de paiement pour faciliter la réalisation des transactions ultérieures
En raison des incidences graves que peuvent représenter les violations de données relatives aux données de carte de paiement (cf. risque de paiements frauduleux notamment), le CEPD a adopté des recommandations qui visent en particulier la situation dans laquelle une personne concernée achète un produit ou paie un service via un site internet ou une application et communique ses données de carte de paiement afin de conclure cette transaction unique et où le fournisseur du produit ou du service souhaite conserver ces données « au-delà » de la transaction dans le but de faciliter d’éventuels achats ultérieurs par la personne concernée.
Dans ses recommandations, le CEPD confirme la position de la Cnil et vient donc l’étendre à l’échelle de l’Union européenne. A cet égard, le CEPD précise ce qui suit :
- une telle conservation des données de carte de paiement ne saurait être fondée sur l’exécution du contrat conclu entre le client et le e-commerçant dans la mesure où le produit ou service a déjà été payé ;
- le fondement de l’intérêt légitime n’est pas non plus adapté dès lors qu’il apparaît que la conclusion d’un autre achat ultérieurement par le client dépend du choix de ce dernier et « n’est pas déterminée par la possibilité de le réaliser « en un clic »» (i.e. possibilité pour un client de procéder à un autre achat ultérieurement, même sans avoir « enregistré » ses données de carte de paiement). En outre, les données de carte de paiement sont considérées comme des données « hautement personnelles » et leur conservation présente un risque accru de violation de leur sécurité (notamment de leur confidentialité). De surcroît, un client qui procède à un achat en ligne ne peut raisonnablement s’attendre à ce que ses données de carte de paiement soient conservées plus longtemps que ce qui est nécessaire à la réalisation de la transaction. Pour ces raisons, le CEPD estime que « les droits et libertés fondamentaux de la personne concernée par la protection des données primeraient probablement sur l’intérêt du responsable du traitement dans ce contexte spécifique ».
Aussi, le CEPD considère que, pour pouvoir conserver des données de carte de paiement afin de faciliter des achats ultérieurs, les e-commerçants doivent recueillir le consentement spécifique des personnes concernées à cette fin (par exemple au moyen d’une case à cocher sur le formulaire de collecte des données de carte de paiement (case pré-cochée à proscrire)). Il revient également au e-commerçant de s’assurer que le consentement est « libre » (cf. distinct de l’acceptation des conditions générales de vente ou de services et possibilité de procéder à l’achat sans consentir à une conservation des données de carte de paiement pour faciliter des achats ultérieurs).
* *
*
Il résulte de ce qui précède que, pour savoir quel régime appliquer pour pouvoir conserver des données de carte de paiement, les e-commerçants doivent identifier la finalité qu’ils entendent poursuivre en procédant à une telle conservation « au-delà » de la transaction. Cette analyse préalable est structurante en ce qu’elle peut impliquer la nécessité de devoir recueillir le consentement des personnes concernées (cf. hypothèse dans laquelle cette conservation vise à faciliter la réalisation d’achats ultérieurs) et impacter les mesures à déployer pour assurer la conformité aux dispositions applicables du traitement de données à caractère personnel ainsi mis en œuvre (par exemple la rédaction des mentions d’information fournies aux personnes concernées dans le cadre du processus de commande en ligne -cf. mention d’information sur le formulaire de collecte des données de carte de paiement et politique de protection des données online, ou encore les typologies de droits dont bénéficient les personnes concernées sur leurs données à caractère personnel).
AGIL’IT se tient à votre disposition pour vous accompagner dans le cadre de la mise et/ou du maintien en conformité de vos pratiques, en tant que e-commerçant, au regard notamment de la règlementation applicable en matière de protection des données à caractère personnel mais également des dispositions applicables à la vente en ligne et au e-commerce de manière générale.
Par AGIL’IT – Pôle IT & Data protection
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate